Le smartcard sono la più sicura delle opzioni comuni per quanto ne so. E se solo la password o solo la smardcard è compromessa dall'hacker, il sistema è sicuro. Entrambi sono necessari per l'autenticazione.
Ciò che questo articolo sta cercando di sottolineare è che il 2FA come concetto ferma solo alcuni tipi di attacchi, ma non impedisce ogni tipo di attacco. Inoltre, 2FA deve ancora essere implementato, il che lascia gli stessi problemi di qualsiasi altro software di sicurezza. L'implementazione potrebbe essere mal progettata o avere bug, che non hanno nulla a che fare con la stessa 2FA. È come se RSA fosse sicuro, ma è vulnerabile a un cuore spalancato. RSA è sicuro, ma solo perché lo stai utilizzando non significa che non ci sia un altro problema.
Ecco un elenco incompleto e rapido di esempi di ciò che 2FA non ti protegge da:
- MITM: un utente malintenzionato che ascolta la linea e intercetta la connessione. SSL dovrebbe essere usato per prevenire questo, 2FA non lo fa.
- Sito Web fasullo - un utente malintenzionato che crea un sito con lo stesso aspetto e induce l'utente a collegarsi ad esso, quindi a inoltrare le credenziali (sia smartcard che password) al sito reale. L'attaccante può attaccare solo in questo momento mentre con la password, potrebbe salvarlo per dopo.
- Compromissione del server - 2FA non aiuta affatto se il tuo server sottostante viene compromesso, ad esempio con un bug come hartble come è stato menzionato.
- Attacco fisico: 2FA non fa quasi nulla per impedire a un utente malintenzionato di accedere fisicamente alla macchina.
- Attacco al metodo di recupero - Come resettare passwod / smartcard per posta. Se esiste una tale opzione di recupero, può essere spesso abusata. Questo vale sia per quelli automatici che per quelli manuali realizzati da persone (ingegneria sociale).
- Social engineering su un amministratore - Un utente malintenzionato può tentare di convincere un amministratore che ha perso la sua smartcard e di averne bisogno di resettare o disabilitare per accedere.
In conclusione, 2FA è utile ma deve essere usato insieme ad altre misure di sicurezza. Non è una soluzione unica per tutti i tuoi problemi. Raccomando caldamente di avere un professionista per progettare la tua strategia di sicurezza.
Tieni presente che alcuni di questi potrebbero essere prevenuti dai design avanzati di 2FA ma non da quelli comuni.